记录一次apisix上cros配置跨域失败的问题

apisix配置跨域失败问题及解决
最新推荐文章于 2025-10-05 19:09:57 发布
原创 最新推荐文章于 2025-10-05 19:09:57 发布 · 860 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

安全要求不允许跨域请求,但是业务侧由于涉及多个域名,并且需要共享cookie,所以需要配置跨域。

在apisix上配置了cors如下。

结果安全漏扫还是识别到了跨域请求的漏洞。

调试了cors.lua的插件脚本,发现apisix上是如果不在allowOrigins列表里面的话,就不做处理,没有在响应头写入Access-Control-Allow-Origin。

后来发现是后台java服务上面配置了Access-Control-Allow-Origin:*。直接返回的响应头。

后台服务网关改掉就ok了。

这里主要问题是,apisix采用的是不在allow列表的origin直接不做处理。(其实后端没主动写入也没问题)但是在后端主动写入Access-Control-Allow-Origin的情况下会导致失效。

这里解决方法直接规定后端不要做跨域配置即可。

b哈利路亚d
关注
【项目实战】复盘APISIX云原生网关-入门插件使用
本本本添哥
07-04 1957
复盘APISIX云原生网关-入门插件使用
不同名间的限制是否生效测试
qq_36532540的博客
05-29 1005
参数限制是否生效测试!
Apisix插件之cors
he20021221的博客
09-04 339
APISIX的cors插件用于解决资源共享问题,通过配置HTTP响应头允许不同名的前端调用后端API。核心配置包括允许的名、方法、请求头等,支持简单请求和预检请求两种场景。示例展示了宽松的开发环境配置,但生产环境建议限制名、方法和头信息以提高安全性。该插件是前后端分离架构中实现安全调用的必备工具。
全新一代API网关,带可视化管理,文档贼友好!
Java_cola的博客
07-19 920
摘要 提到API网关,大家比较熟悉的有Spring Cloud体系中的Gateway和Zuul,这些网关在使用的时候基本都要修改配置文件或自己开发功能。今天给大家介绍一款功能强大的API网关apisix,自带可视化管理功能,多达三十种插件支持,希望对大家有所帮助! 简介 apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。 核.
CORS设置不生效排查之路
细嗅
12-15 1万+
结构:springboot2.x版本 CORS(资源共享),可以把其当做是通过设置http响应头来允许不同协议、ip、port可以请求。 在springboot中,一般常采用两种方式实现CORS: 一,通过拦截器的方式,通过继承WebMvcConfigurationSupport,重写addCorsMappings方法,具体代码如下: @Override protected void addCorsMappings(CorsRegistry registry) { ...
APISix如何配置gzip压缩、cache、
哈利路亚的收藏夹
04-26 2228
网上查到的apisix配置很多都很古老,要改配置文件。其实现在apisix都是使用插件方式实现各种配置,很方便。这里简单介绍下三个常用插件、gzip压缩、cache缓存和插件。这里均使用apisix的Dashboard看板进行配置
javascript-cros:的一些问题和方法总结
05-26
的一些问题和方法总结 一直都说想找个大总结的文章关于的处理奈何度娘上的资料太老旧,自己对于新的知识点又不是十分十分有研究。因此一直让懒癌发作下去。奈何最近做了双失青年,因此有了空余的时间去研究...
一次使用thinkphp8+uniapp开发遇到的CROS问题的解决过程
最新发布
Graent.Hu的博客
10-05 677
本文记录了使用ThinkPHP8+UniApp开发时遇到的CORS问题及解决过程。最初通过自定义中间件设置了标准的CORS响应头,但问题依然存在,并出现预检请求被拦截的新错误。在尝试多种方法无果后,发现问题可能与浏览器强制HTTPS跳转有关(HSTS机制)。虽尝试了禁用安全连接、修改响应头、清除HSTS缓存等方法未奏效,但最终通过将接口请求改为HTTPS协议成功解决了问题。文章揭示了在开发中容易忽视的HTTPS协议对请求的影响,建议遇到类似问题时优先考虑协议层面的兼容性。
使用Spring CROS解决项目中的问题详解
08-25
使用Spring CROS解决项目中的问题详解 在Web开发中,问题是一个常见的烦恼,特别是在前后端分离的项目中。问题的出现是因为浏览器的同源策略限制,导致不同名之间无法共享资源。为了解决这个问题,...
一次SpringBoot解决CROS问题CROS
weixin_41767181的博客
11-24 995
一次SpringBoot解决CROS问题CROS) 使用注解@CrossOrigin(局部 后端创建注入切面 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface CrossOrigin { //这origins和value是一样的 //允许来源名的列表,例如 'www.jd.com',匹配的名是预请
阿里云配置cros问题
03-24
### 阿里云CORS域配置指南 为了正确配置阿里云对象存储服务(OSS)上的资源共享(CORS),需要遵循以下原则和具体操作: #### 1. OSS CORS基本概念 资源共享(CORS)是一种由浏览器实施的安全机制,旨在...
前端页面通过apisix网关访问后端的Fastapi的问题CORS
码农从0到1
11-24 1432
apisix网关+Fastapi的问题CORS
APISIX高级路由之301/302跳转配置
qq_1758979的博客
06-17 689
可以看到,通过response-rewrite 插件,我们仅用一个路由就满足了上述跳转需求,但是这个方法有个弊端,就是这个插件其实是在请求完后端之后生效的,因此这个请求其实已经到了后端服务,然后才跳转的,不是特别优雅。我们这有个内部网站同时支持 2 个名访问,最近因升级需求希望统一到一个名,即老名做一个 301 跳转到新名。这个在 Nginx 直接配置一个 if 逻辑,判断是老的 host 并跳转到新的名即可。,前者只能跳转 uri 不包含协议主机部分,后者可以通过修改返回头和状态码来实现跳转。
使用Apisix打造家庭NAS网关,免公网IP访问
人生苦短,我用... ...
12-03 2946
使用apisix打造家庭NAS网关,并通过cloudflare进行穿透,可免公网IP访问。首先你的NAS支持Docker,没有NAS也没有关系,只要你的电脑支持Docker同样可以参照该教程
如何解决问题
xiaoHelloWord的博客
07-12 280
我们要知道的理念:及同端口,同名,同协议都是同,反之都是 出于安全问题,服务器不允许ajax获取数据,但是可以获取文件的内容。这样的话我们就可以动态创建一个也可以通过jsonp实现,动态创建 ...
APISIX-全新一代API网关,带可视化管理,文档贼友好!
Ch3nnn的博客
04-18 1万+
apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。体验了一把apisix这个全新一代的API网关,有可视化管理的网关果然不一样,简单易用,功能强大!如果你的微服务是云原生的话,可以试着用它来做网关。其实apisix并不是个小众框架,很多国内外大厂都在使用了,如果你想知道哪些公司在使用,可以参考下面的连接。
基于 Apache APISIX 的自动化运维平台
这个时代,作为程序员可能要学习小程序
05-17 496
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享项目背景2019 年底,因为公司在业务研发的过程中,遇到了一些业务痛点,比如:公司的开发技术栈是 Java 相关的,而运维工程师擅长的则是 Shell 和 Python 脚本,无法直接对接;公司本身正处于快速增长期,开发工程师人力不足,无法支援日常的运维工作及运...
APISIXAPISIX Dashboard搭建、路由配置及插件使用
热门推荐
CaptainJava的博客
06-28 2万+
本文简要描述了APISIXAPISIX Dashboard的搭建 以及消费者consumer、常用插件等的使用
9.云原生- Kubesphere3.3.0 安装 APISIX 网关的使用和配置
平塘大鱼儿
11-10 2970
Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值